Erstellt am: 24. 9. 2015 - 14:24 Uhr

NSA-Skandal holt US-Cloud-Anbieter ein

Folgt der Europäische Gerichtshof (EuGH) den am Mittwoch veröffentlichten Empfehlungen des Generalanwalts Yves Bot, dann fällt die "Safe Harbour"-Regelung - und damit auch die Rechtsgrundlage für US-Cloud-Anbieter in Europa.

Die am Mittwoch veröffentlichte Rechtsmeinung des EuGH-Generalanwalts, das "Safe Harbour"-Abkommen mit den USA sei ungültig, verstärkt den Druck auf die seit 2011 ergebnislos verlaufenen Verhandlungen mit den USA über einen Nachfolgevertrag. Folgt nun der EuGH der Ansicht seines Generalanwalts, dann könnten 4.400 US-Unternehmen - die bisher unter Berufung auf "Safe Harbour" europäische Daten in den USA ohne spezielle Auflagen verarbeiteten - diesen privilegierten Status verlieren.

Während EU-Firmen den Auflagen der nationalen europäischen Datenschutzgesetze unterworfen sind, genügt für US-Unternehmen derzeit eine bloße Erklärung, personenbezogene Daten aus Europa in den USA "adäquat" zu schützen. Dieser freie Fluss von Daten ist momentan nur in den USA und in vier weiteren Staaten formlos möglich. Vor allem Cloud-Anbieter wie Google, Facebook und Microsoft, die durch Programme wie PRISM direkt in das NSA-Überwachungsregime eingebunden sind, wären von einer Aberkennung des "Safe Harbour"-Status der USA betroffen. Etwa 80 Prozent der weltweiten Nutzerdaten von Facebook werden über die Europazentrale Irland in die USA übertragen, wo sie verarbeitet werden.

Public Domain

Cloud-Anbieter in der Falle

Eine Ungültigkeitserklärung von "Safe Harbour" durch den EuGH würde die Übermittlung personenbezogener Daten in die USA zwar nicht stoppen, aber unter Datenschutzauflagen stellen. Das würde alle Cloud-Anbieter aus den USA betreffen - insbesondere aber Google, Apple, Facebook und Microsoft, die in den geleakten NSA-Dokumenten zum PRISM-Programm auch direkt genannt werden. Unter dem Verweis auf dieses Programm hatte der Österreicher Max Schrems die irische Datenschutzbehörde vor dem High Court in Dublin geklagt.

Die Clouds dieser großen, weltweit operierenden Anbieter funktionieren alle weitgehend nach demselben Prinzip "Follow the Sun". Entlang der weltweiten Bürozeiten gehen die Datencenter in der jeweiligen Weltregion in den Aktivbetrieb, während jene in den Nachtregionen zu dieser Zeit als Back-ups dienen. So werden Latenzen und damit Ladezeiten niedrig gehalten, weil die Daten während des Bürobetriebs quasi an Ort und Stelle vorhanden sind und dort aktuell gehalten werden. Wenn das jedoch mit Auflagen verbunden wird, müssten die Cloud-Anbieter nicht nur ihre technischen Routinen grundlegend ändern, sondern müssten möglicherweise auch Änderungen in der Organisationsstruktur dieser Firmen vorgenommen werden.

Max Schrems

Für europäische Unternehmen wiederum hätte eine Ungültigkeitserklärung von "Safe Harbour" durch den EuGH ebenfalls direkte Konsequenzen. Da europäische Firmen dafür haften, dass für die Verarbeitung personenbezogener Daten ein adäquates Schutzniveau gegeben ist, könnten sie diese Verarbeitungsprozesse nicht mehr so einfach wie bisher an US-Firmen auslagern, weil es dafür denn ebenfalls Datenschutzauflagen geben würde.

Artikel 7 und 8 der EU-Charta

Besonders auffällig ist, dass sowohl das irische Gericht als auch der EuGH-Generalanwalt PRISM und andere NSA-Programme, die im Rahmen der Enthüllungen Edward Snowdens an die Öffentlichkeit gekommen waren, nicht als bloße "Medienberichte" abtun, sondern als gegebene Tatsache ansehen.

In den Randziffern 199 und 200 der 40 Seiten umfassenden Rechtsmeinung von Generalanwalt Bot heißt es dazu wörtlich: "Tatsächlich betrifft der Zugriff der US-Geheimdienste auf die übertragenen Daten alle Personen, die elektronische Kommunikationsdienste benutzten - ohne die Vorbedingung, dass diese Personen auch die nationale Sicherheit bedrohen. Eine solche Massenüberwachung ist in sich unausgewogen und stellt einen ungerechtfertigten Eingriff in die Rechte dar, die durch die Artikel 7 und 8 der EU-Charta garantiert sind." Die EU-Charta aber ist die Verfassung der Europäischen Union und nicht der USA.

Public Domain

Nicht-Kompetenzen der Kommission

"Safe Harbour" ermöglicht es Firmen aus den USA, die Daten europäischer Bürger in den USA zu verarbeiten, ohne dass eine nationale Datenschutzbehörde irgendeines EU-Mitgliedsstaates eingreifen könnte. Die gesamte Rechtsgrundlage dafür ist ein einfacher Beschluss der EU-Kommission von 2000, in dem die USA zum "sicheren Hafen" für europäische Daten erklärt wurden. Eine solche Vorgangsweise der Kommission wird in Zukunft ausgeschlossen sein, denn, so Bot, kein Kommissionsbeschluss dürfe die Aufsichtspflichten und Kompetenzen von nationalen Datenschutzbehörden irgendwie beschränken.

Auswirkung auf Datenschutzverordnung

Wenn diese Rechtsmeinung durch das Urteil bestätigt wird, dann wirkt das direkt auf die wieder angelaufenen Trilog-Verhandlungen von Rat, Kommission und Parlament zur Datenschutzverordnung. Die Grundkriterien für Datentransfers in Drittstaaten stehen dort ganz oben auf der Liste der noch offenen Punkte. Denn darunter fallen auch die Datentransfers, die durch die Freihandelsverträge TTIP, TISA, CETA geregelt werden. Nach Willen des Rates wird die Kommission allein ermächtigt, darüber zu entscheiden, ob das Schutzniveau für personenbezogene Daten in bestimmten Drittstaaten den Kriterien des europäischen Datenschutzes entspricht (Artikel 41/3).

Public Domain

Die im Trilog bereits veränderte Parlamentsversion (l.) - in der (neueren) Ratsversion (r.) fehlen die Begriffe "Delegated Acts" und "Sunset Clause"

Das Parlament verlangt zudem eine "Sonnenuntergangsklausel" ("Sunset Clause") für eine Datenweitergabe in Drittstaaten (Amendment 137 zu Artikel 41). Falls sich herausstellen sollte, dass in einem Drittstaat kein adäquates Schutzniveau mehr existiert, müsste die Übermittlung der Daten eingestellt werden. Während der ersten Trilog-Verhandlungen wurde diese "Sunset Clause" durch den Ministerrat jedoch gestrichen und durch einen sogenannten "Grandfather Clause" ersetzt. Das bedeutet, ältere Regelungen in internationalen Verträgen können beibehalten werden, auch wenn sie neueren Gesetzen widersprechen.

Wenn der EuGH dabei bleibt, dass die Kommission nicht in die Kompetenzen der Datenschutzbehörden eingreifen kann, dann kann die Kommission auch keine internationalen Verträge abschließen, die auf einer solchen - von allen Auflagen befreiten - Datenübermittlung basieren. Alle drei aktuellen Freihandelsverträge sehen aber solche Klauseln vor.

Public Domain

Die "Grandfather Clause" stammt aus den USA des 19. Jahrhunderts und kam dort zu schändlicher Berühmtheit. Die Regelung bezog sich tatsächlich auf die Großeltern eines Wahlberechtigten und wurde vor allem in den Südstaaten dazu benützt, Schwarze, Latinos und arme Weiße vom Wahlrecht auszuschließen.

Die Kompetenzen der Kommission aber sind Kern der Fragestellung des irischen High Court, dem obersten Zivil- und Strafgericht. Die irische Datenschutzbehörde hatte es im Juli 2013 unter Berufung auf den "Safe Harbour"-Kommissionsbeschluss aus dem Jahr 2000 abgelehnt, gegen Facebook wegen der Weitergabe von Nutzerdaten im Rahmen des PRISM-Programmes an die NSA vorzugehen. Daraufhin hatte Schrems die irischen Datenschützer vor dem High Court im Oktober 2013 geklagt.

Kafkaeske Züge

Davor hatte sich sich die Datenschutzbehörde drei Jahre lang geweigert, den Beschwerden gegen Facebook nachzugehen, die Schrems bereits 2011 eingereicht hatte, weil Facebook das Recht auf Einsicht in die eigenen Daten verweigert hatte. Bereits 2012 nahm das Verfahren vor der irischen Datenschutzbehörde, die eigentlich das Recht auf Auskunft bei Facebook hätte durchsetzen sollen, kafkaeske Züge an.

Schrems wurde nicht nur Akteneinsicht verweigert, im Juli 2012 stellte die Behörde überhaupt die Kommunikation völlig ein. Als ein Jahr später die Erklärung gekommen war, dass die Behörde nicht verpflichtet sei, dem Fall überhaupt nachzugehen, hatte gerade die erste Serie der Enthüllungen des ehemaligen US-Geheimdienstmitarbeiters Edward Snowden in den Medien Furore gemacht - allen voran das PRISM-Programm zur Überwachung und Auswertung elektronischer Medien und elektronisch gespeicherter Daten.

Wie es nun weitergeht

Mit einem Urteilsspruch des EuGH ist noch vor Jahresschluss zu rechnen. Danach wandert die Klage wieder zum irischen High Court zurück, der seinen Spruch dann entlang dem EuGH-Urteil fällen muss. Dieser könnte die irische Datenschutzbehörde zum Vorgehen gegen Facebook zwingen, denn es ist mit einiger Sicherheit anzunehmen, dass Schrems auch diese Verfahren gewinnt. Sein eigentliches Ziel war es, den Schwindel um den "sicheren Hafen" USA angesichts der umfassenden NSA-Spionage aufzudecken und zu stoppen.

Die dabei entstandenen "Kollateralschäden" - die aus Sicht der Benutzer eher "Kollateralnutzen" sind - für die derzeit üblichen Usancen im Umgang mit personenbezogenen Daten sind jedenfalls beträchtlich. Die Klage Schrems' gegen Irlands Datenschutzbehörde in Sachen Facebook brachte nicht nur Internetkonzerne in die Bredouille, sie kollidiert auch mit allen drei Freihandelsabkommen auf einmal und zwingt EU-Kommission und US-Regierung, die Verhandlungen über ein Nachfolgeabkommen von "Safe Harbour" schnell abzuschließen, da sonst ein rechtsfreier Zustand droht.

"Safe Harbour"-Start im Echelon-Skandal 2000

Was den Ursprung von "Safe Harbour" betrifft, so startete das Verfahren im Jahr 2000 mitten in einem NSA-Skandal. Das EU-Parlament hatte einen Untersuchungsausschuss eingerichtet, nachdem das weltweite Satellitenüberwachungssystem Echelon der "Five Eyes"-Staaten sozusagen amtsnotorisch geworden war. Marc Rotenberg, Direktor der US-Datenschutzorganisation EPIC, brachte den Mechanismus der unüberprüften Selbstzertifizierung durch die Industrie in "Safe Harbour" damals mit diesen heute erst recht gültigen Worten auf den Punkt: "So mancher sichere Hafen wird sich als übles Piratennest herausstellen, wenn es keine gesetzliche Kontrolle gibt."